인터넷 공인망에 연결된 모든 서버는 외부의 끊임 없는 접속 시도에 시달립니다.
공유기를 앞단에 놓고 로컬망을 구성해서 사용하는 경우는 그렇지 않을 것이라고 생각할 수 있지만 실제로 공유기에서 포트 포워딩을 해놓는 경우는 로컬망의 호스트들도 똑 같은 위험에 노출됩니다.
꼭 의미 있는 서버가 아니더라도 기계적으로 전 세계의 아이피를 서칭하는 로봇들이 수도없이 많기 때문에 막상 확인해보면 깜짝 놀랄때가 많습니다.
한번 확인 해 볼까요
tail -f /var/log/secure
오늘도 여전히 외부에서 ssh 접근 시도를 지속적으로 하고 있네요.
호스트 패스워드 설정을 예측 가능한 단어로 설정 하면 안되는 이유가 바로 이런 것입니다.
알려진 많은 id와 pw를 이용하여 반복해서 접근합니다.
로그 파일에서 해킹 시도를 확인하는 방법은 아래와 같은 패턴을 확인하시면 됩니다.
물론 이것은 아주 기초적인 방법입니다. 다른 것도 많습니다.
- 로그인 시도 실패
- 로그인 시도 실패 후, 다시 로그인 시도하는 경우
- 로그인 시도 실패 후, 다른 사용자 계정으로 로그인 시도하는 경우
- ssh를 이용한 접속 시도
메시지가 너무 많습니다. 아이피만 쫙 뽑아서 확인해보고 싶을때 다음 명령셋을 사용해 보세요.
ls /var/log/secure | xargs grep -E "[[:digit:]]+\.[[:digit:]]+\.[[:digit:]]+\.[[:digit:]]+" -o | sort | uniq
저 아이피들은 후이즈아이피검색 사이트에 넣고 검색 해보면 어느나라의 아이피인지 확인 할 수 있습니다.
https://xn--c79as89aj0e29b77z.xn--3e0b707e/
KISA 후이즈검색 whois.kisa.or.kr
한국인터넷진흥원 인터넷주소자원 검색(후이즈검색) 서비스 입니다.
xn--c79as89aj0e29b77z.xn--3e0b707e
맨 위에 1.15.138.95 아이피를 한번 확인해 볼까요
중국에서 들어오는 접근 시도네요
다음 명령으로는 어떤 아이디로 언제 어떤 아이피로 시도 했는지도 확인할 수 있습니다.
last -f /var/log/btmp | more
징글징글 합니다.
보안 설정 잘 하셔서 철통 방어 하세요~
'IT > 리눅스' 카테고리의 다른 글
| Rocky linux nvcc, cuda-toolkit 안될 때 해결하기(설치된 cuda 버전 확인하기, cuda-toolkit ropo 등록) (0) | 2023.05.12 |
|---|---|
| 리눅스 파일 찾기, find 명령의 다양한 응용(날자, 크기 조건으로 찾기, 찾아서 지우기 등등) (0) | 2023.04.27 |
| Rocky Linux firewall 사용법(방화벽 on/off, port 등록, IP 등록, 프로토콜 등록, IP 차단 등) (0) | 2023.04.27 |
| 리눅스 ssh, scp 명령으로 할 수 있는 것들(ssh, remote , 원격 로그인, 파일전송, 원격 명령 실행 등) (0) | 2023.04.26 |
| 리눅스 파일 권한 개념과 변경 방법(permission 표시방법, chmod) (0) | 2023.04.26 |
